Василий Половнёв |
Мы задумались о переезде на HTTPS в декабре 2016. Это дало бы нам чуть больше производительности с HTTP/2, безопасную передачу данных, а Хром начал бы считать наш сайт «надёжным». 19 декабря 2017 года мы переключили сайт бюро на HTTPS и HTTP/2. Переезд занял год по двум причинам: другие приоритеты и ссылки с http:// Расскажу, как разбирались со всем этим, в хронологическом порядке. ЯнварьРассказываем Артёму про HTTPS и светлое будущее, получаем добро. Ничего не начинаем делать, потому что все заняты новым сайтом бюро. Февраль |
Google Online Security Blog: Moving towards a more secure web |
Запускаем новый сайт. Смотрим, что мешает прямо сейчас перейти на HTTPS — небезопасные ссылки. Если страница загружена по HTTPS, браузер не загружает стили, скрипты и шрифты по http://. Страница молча ломается. К сожалению, на сайте бюро такого полно. Например, проекты в портфолио используют jQuery с http://code.jquery.com, а основной файл со стилями сайта загружает Бюросанс и Бюросериф по HTTP. Если прямо сейчас включить HTTPS, сайт перестанет работать. МартПридумываем стратегию миграции. Договариваемся, что все новые сервисы запускаем сразу с HTTPS, а на старых страницах исправляем ссылки на небезопасные ресурсы по правилу бойскаута — «оставляйте страницу чище, чем вы её застали». Разработчик исправляет подпись к фотографии автора на промостранице «Типографики и вёрстки». Замечает проблемные ссылки: |
|
Помня о правиле бойскаута, исправляет их таким образом, чтобы они работали и по HTTP, и по HTTPS: |
|
АпрельРешаем, что сначала переедем с artgorbunov.ru на bureau.ru. Ставим HTTPS на паузу. |
Кроме того, мы забыли про СЕО. Перед переездом надо разобраться с тем, что поисковики плохо видят сайт бюро: поправить непонятные 302 редиректы, разобраться с поддоменами и дублями, добавить robots.txt и сайтмап. Май — июньИсправляем редиректы, разбираемся с поддоменами, добавляем сайтмапы и robots.txt. Придумываем стратегию миграции с artgorbunov.ru на bureau.ru без потерь пользовательских сессий и кук. Переезжаем на bureau.ru. Июль |
Как улучшить индексирование (дубли, HTTP ответ, удаление из поиска) |
Возвращаемся к HTTPS. Настраиваем bureau.ru так, чтобы работал и по HTTPS. Сертификаты берём в Let’s Encrypt. АвгустБлагодаря правилу бойскаута, большая часть страниц в портфолио готова к HTTPS. Проходимся по ![]() Сентябрь — ноябрьГотовим к HTTPS главное меню, страницы курсов и школ. Исправляем небезопасные ссылки в стилях и скриптах. Исправляем ссылки в советах: большую часть исправляем автоматически, оставшееся разбираем вручную. ДекабрьВыбираем время для переезда. Неделя с 18 декабря подойдёт: закончилась первая ступень в школах, ближайший пуск (электронная полка) — 25 декабря.
19 декабря с 9:00 до 10:30 переводим bureau.ru на HTTPS и включаем HSTS. Что дальшеВпереди ещё две сложных задачи: безопасные, доступные только по HTTPS, куки и потерянные лайки. О них — в будущих советах. Ещё по теме |
Сертификаты автоматически выдаёт и продлевает Certbot |